Hatena::Groupweb

vantguarde

 | 

3.1

Origin関連 ― Same-Origin Policy, From-Origin Header, Web Fonts and SOR

21:28

WHATWG Weeklyを見て思い出しました。

Same-Origin Policy

Same-Origin Policyって、どういうものかは知られているとは思うんですが、参照するリソースが(たぶん)ありませんでした。Originそのものもそんな感じですからしょうがないというか。で、OriginのI-Dを書いてるAdam Barthさんが書いたのがPrinciples of〜になります。さっすが!

ところで「同一生成元ポリシー」という訳語があまり好きじゃないです。生成というよりは発生というか基点というイメージがあるからなんですが、まあどうでもいいか。理由とかあるのかなあ。

Web FontsのSORとFrom-Origin

先月Web fontsのSORについて書いたとき、CORSが間違って使われているなんていう話が出てました。で、何が間違ってないのかという話ですが、それがこれまたAnneの提案するForm-Originというレスポンスヘッダです。

ドラフトもここ数日の間に書かれました。Cross-Origin Resource Embedding Restrictionsなんて名前の文書で今のところ定義されています。

CORER...なんて発音するんだろう…(ちなみにCORSは「こーず」)

#whatwgでのannevkとabarthの会話が、F-Oについて分かりやすく説明しています。

[11:54] <abarth> can you explain this From-Origin thing to be again?
[11:54] <abarth> its a server => browser header
[11:54] <annevk> yes
[11:54] <abarth> that stops the resource from being used excepted by a particular origin?
[11:55] <annevk> yes, basically turns it into a "network error"
[11:55] <abarth> I see
[11:55] <abarth> so CORS => reading
[11:55] <abarth> ROAR => displaying
[11:55] <abarth> displaying means as in an image tag
[11:56] <abarth> does it work for iframes?
[11:56] <annevk> helps fight bandwidth stealing, enforcing font licenses, and should help with https://grepular.com/Abusing_HTTP_Status_Codes_to_Expose_Private_Information
[11:56] <annevk> abarth, yes, I think that would make sense
[11:56] <annevk> abarth, so it can replace X-Frame-...
[11:56] <abarth> what about deep linking?
[11:56] <annevk> no
[11:56] <zcorpan> window.open?
[11:57] <annevk> that's also navigating
[11:57] <annevk> afaik
[11:57] <abarth> so it cares about the embedding context
[11:57] <abarth> not the referrer
[11:57] <annevk> right
[11:57] <annevk> i would not want to limit normal linking
[11:57] <abarth> makes sense

レスポンスヘッダであり、CORSのように「読む」ではなく「表示する」際のコントロールを司ると。もととなったWeb fontsのほか、iframeやその他帯域を食う埋め込みリソース(ビデオ)などにも応用できるというもの。ただディープリンクなどはナビゲーションなので、これはブロックされないと。さすがにそれは。

ただ、AdamはCSPの方が良いなんて話もしてます。AnneもCSPはoverloadedと言いつつ、とくに独立させることにこだわりはないようなので、取り込まれるのかも。

CSPのスコープなのかという疑問をMaciejが出してまして、それにAdamがCSPまわりの現状を話すという展開にもなってます。

あ、CSPはContent Security Policyという、Gecko 2で追加されるやつです(よくしらない)。

仕様はまだないそうで、AdamがWikiにメモ書きをしています。Mozillaとも協調してるんでしょうね。

WebKitでも結構実装が進んでますね。

どうなるんでしょうね。

Web FontsとSOR

さて、Web Fonts WGでFrom-Originがどう紹介されてるのかなと覗いてみたら、いつも通り大変なことになってました。

あまり読む気はしないのですが、MaciejのメールがAppleの立場だけでなく、この問題をうまく説明できているように思えました。

とくにCross-origin access restrictions should be tied to embedding mechanisms, not data formatsという点はなるほどなあと。素晴らしい。

F-OもしくはCSPがこの解決策なのかは別ですけどね。まだまだ続きそう。少なくともWOFFがこのままCRになることはなさそうです。

 | 
Contact: @vant / lepetitcroissant@gmail.com.